本节介绍了Windows弹性云主机中的cloudbaseinit帐户是什么的相关内容。 cloudbaseinit帐户是什么？ Windows弹性云主机中的cloudbaseinit帐户为CloudbaseInit代理程序的内置帐户，用于弹性云主机启动的时候获取元数据并执行相关配置。如果删除此帐户，会影响云管理平台的相关功能，建议您不要修改、删除此帐户。 说明 Linux弹性云主机中不存在该帐户。 如果自行修改、删除此帐户或者卸载CloudbaseInit代理程序，会导致由此弹性云主机创建的Windows私有镜像所生成的新云主机初始化的自定义信息注入失败。 cloudbaseinit帐户密码随机化安全加固说明 在cloudbaseinit 0.9.10版本中，对cloudbaseinit内置账户密码进行随机化安全加固，确保cloudbaseinit内置账户密码的HASH值（LMHASH和NTLMHASH值）不一致。 Windows系统下的HASH密码格式为：用户名称:RID:LMHASH值:NTHASH值， 例如：Administrator:500:C8825DB10F2590EAAAD3B435B51404EE:683020925C5D8569C23AA724774CE9CC:::表示 用户名称为：Administrator RID为：500 LMHASH值为：C8825DB10F2590EAAAD3B435B51404EE NTHASH值为：683020925C5D8569C23AA724774CE9CC 验证：使用同一个镜像创建两个云主机（ecs01,ecs02），cloudbaseinit内置账户HASH值不同。 ecs01的cloudbaseinit内置账户LMHASH和NTLMHASH值如下所示。 图 ecs01 ecs02的cloudbaseinit内置账户LMHASH和NTLMHASH值如下所示。 图 ecs02

参数名 类型 是否必选 名称 描述 productcode string 是 产品类型 固定值：“009”（应用加速） domain list< string > 是 域名列表 单次调用域名个数最多不超过20个 origin object 否 回源信息 未传代表不修改 origin.origintype int 否 回源方式 1：择优回源方式，2：轮训回源方式，3：保持登录回源方式。未传代表不修改。 origin.probeport string 否 探测端口 origin.detail list< object > 否 回源角色信息 不允许传空值 origin.detail[].address string 是 回源地址 origin.detail[].weight int 是 权重 origin.detail[].role int 是 源站角色 1：主，2：备 origin.detail[].level int 是 层级 角色为主时，层级取值为1；角色为备时，层级取值为15 dynamiccfg object 否 动态配置 未传代表不修改 dynamiccfg.routetype int 否 选路方式 1：快速选路，2：稳健选路 dynamiccfg.kcp int 否 kcp转发开关 1：开启，2：关闭 dynamiccfg.packageloss float 否 丢包率阈值 范围01 accesscontrol object 否 访问控制 未传代表不修改 accesscontrol.controlswitch int 是 ip黑白名单开关 1：开启，2：关闭 accesscontrol.matchtype int 否 匹配方式 1：掩码和ip段匹配，2：字符串匹配；若ip黑白名单开关开启，则该字段必填 accesscontrol.controltype int 否 访问控制类型 1：ip黑名单，2：ip白名单；若ip黑白名单开关开启，则需填写该字段 accesscontrol.iplist string 否 ip黑/白名单 若ip黑白名单开关开启，则需填写该字段，多ip以逗号分隔

名称 类型 描述 serverName String 服务器名称。 serverId String 服务器ID。 status String 服务器状态： Connected：已连接。 Disconnected：未连接。 Removing：移除中。 version String 服务器上的HBlock版本。 isMasterServer Boolean 该服务器是否为Master节点： true：是。 false：否。 isBaseServer Boolean 该服务器是否为基础节点： true：是。 false：否。 publicAddress.ip String 业务网络的IP。 publicAddress.port Integer 业务网络端口号。 clusterAddress.ip String 集群网络的IP。 clusterAddress.port Integer 集群网络端口号。 targetPortalIP.ips Array of targetPortalIP.ip iSCSI目标门户IP属性集合，详见“ 表1 响应参数targetPortalIP.ip说明 ”。 targetPortalIP.status String iSCSI目标门户IP状态： Enabled：启用状态。 Disabled：停用状态。 diskPaths Array of diskPath HBlock数据目录信息集合，详见“ 表2 响应参数diskPath说明 ”。 defaultPath String 默认的数据目录（仅单机版支持）。 recentStartTime Long HBlock服务在该节点上最近一次成功启动的时间。 服务器未连接时，不返回此项。 ports Array of port HBlock端口的集合，详见“ 表3 响应参数port说明 ”。 portRange String 端口范围。 iSCSIPort Integer iSCSI端口。 storagePorts Array of storagePort 存储服务端口集合（仅集群版支持），详见“ 表4 响应参数storagePort说明 ”。 nodeName String 节点名称（仅集群版支持）。 parentName String 父节点名称（仅集群版支持）。 description String 节点描述（仅集群版支持）。 baseServices Array of baseService 基础服务属性的集合（仅集群版基础服务器支持），详见“ 表5 响应参数 baseService 说明 ”。

参数 类型 名称 是否必填 说明 productcode string 产品类型 是 "005"：视频直播，创建后不可修改 domain string 域名 是 拉流域名 pushstreamdomain string 关联推流域名 否 已创建的推流域名 ipaccesscontrol obj ip黑白名单 否 未传代表不修改，有传代表整个obj全量修改 包括：开关、ip列表、黑白名单类型 ipaccesscontrol.switch string 开关 是 取值：on（开启）;off（关闭） ipaccesscontrol.type int 黑白名单类型 否 当ipaccesscontrol.switch on 时，必填 取值：0（黑名单）；1（白名单） ipaccesscontrol.list list ip列表 否 当ipaccesscontrol.switch on 时，必填 支持ipv4、ipv6 referercontrol obj 防盗链 否 未传代表不修改，有传代表整个obj全量修改 包括：开关、是否允许空referer访问、黑白名单类型、referer列表 referercontrol.switch string 开关 是 取值：on（开启A）、off（关闭） referercontrol.allowempty string 是否允许空referer访问 否 当referercontrol.switch on 时，必填 取值：on（开启）, off（关闭） referercontrol.type int 类型 否 当referercontrol.switch on 时，必填 取值：0（黑名单）；1（白名单） referercontrol.list list referer列表 否 当referercontrol.switch on 时必填 httpsswitch int 开关 否 取值：0：关，1：开； certname str 证书名 否 仅httpsswitch为1时生效

云服务名称 是否支持条件键 云通信短信 否 弹性文件服务 否 分布式消息服务Kafka 否 账务 是 分布式消息服务RabbitMQ 否 分布式消息服务RocketMQ 否 云硬盘 是 天翼云电脑（政企版） 是 内网DNS 否 CRM业务中台 是 分布式缓存服务Redis版 否 弹性云主机 是 弹性负载均衡 否 镜像服务 是 云监控 否 弹性伸缩服务 否 虚拟私有云 是 物理机 否 云硬盘备份 否 云主机备份 否 服务器安全卫士（原生版） 否 密钥管理 否 云间高速 否 统一身份认证 是 客服工单 是 容器云服务引擎CCSE 是 微服务应用平台MSAP 否 活动与券 是 消息管理 是 Web应用防火墙（原生版） 否 云审计 否 企业组织 是 VPC终端节点 否 NAT网关 是

本文介绍通过无域名接入方式接入边缘接入服务IP应用加速的实例名称。 功能介绍 通过无域名方式接入边缘接入服务IP应用加速的实例新增完成后，在IP应用加速接入列表中可查看到该实例，也可以修改实例名称。 配置说明 在IP应用加速接入列表中找到您要修改的实例，点击实例名称后面的小铅笔，修改实例名称后，点击“确定”即可完成实例名称的修改。 注意 实例名称必须是不超过10位的中英文和数字的组合，且不允许和其他实例的名称相同。 配置界面

本文介绍弹性云主机可以迁移到其他地域/帐号吗? 您可以通过镜像迁移方式实现云主机的跨帐号跨地域迁移。 将云主机制作整机镜像 在弹性云主机页面选中需要迁移的弹性云主机点击关机，关机完成后，点击右侧更多制作镜像，选择云主机系统盘或数据盘，填写镜像名称，点击确认下单，等待镜像创建完成。 第一步：将镜像共享给其他账号，其他账号接收了共享镜像后，即可根据镜像创建新的云主机。 第二步：导出镜像文件，在待迁移地域，通过镜像文件制作镜像，待镜像完成，可以通过镜像创建新的云主机。

本页介绍RDSPostgreSQL如何创建白名单。 创建RDSPostgreSQL实例后，默认允许同VPC内的IP可访问实例。您可以通过创建白名单管理，进行设置可访问该实例的IP范围。 操作场景 白名单指允许访问RDSPostgreSQL实例的ip列表。设置白名单可以让实例得到高级别的访问安全保护。 注意 设置白名单不会影响实例的正常运行。 默认的白名单分组（default）不能删除，只能清空。 开通时如选择“将VPC加入白名单”为是，则默认的白名单分组包含实例VPC网段表示该网段下的IP均可访问实例；如选择为否，则只包含127.0.0.1;0:0:0:0:0:0:0:1，表示不允许任何ip访问该实例。 不同资源池因IaaS资源能力等原因，加载版本有所差异，详见 操作方式 1. 登录天翼云官网。 2. 点击右上角的控制中心，跳转到控制中心页面。 3. 点击控制中心，进入控制中心后，选择目标资源池。 4. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 5. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 6. 在【实例管理】的实例列表中选择目标实例，点击实例名称进入实例管理详情页。 7. 点击白名单管理，进入到白名单管理页面>点击“创建白名单组”>在弹出的窗口填入分组名称和组内白名单。 1. 创建的白名单分组名称在同一个实例上具有唯一性。 2. 同一个实例，不同分组的白名单ip列表可以重复，所有分组的ip的并集起效果。 3. 若白名单设置了两个ip，其中一个ip作用范围包含了另一个ip，则以范围大的ip为准。例如：0.0.0.0/0;192.168.10.2，则以0.0.0.0/0的效果为准。 8. 点击“确定”，保存白名单，点击“取消”，放弃创建白名单。

约束条件 带宽伸缩策略只有在“已启用”状态下且无正在执行中的伸缩活动时才可以立即执行。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择带宽伸缩策略所在地域。 3. 单击“计算>弹性伸缩服务”，进入弹性伸缩管理控制台。 4. 在带宽伸缩策略列表中，单击待操作的策略所在行的“立即执行”按钮，即可触发带宽伸缩策略立即执行，调整带宽值。 删除带宽伸缩策略 约束条件 带宽伸缩策略只有无正在执行中的伸缩活动时才可以被删除。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择带宽伸缩策略所在地域。 3. 单击“计算>弹性伸缩服务”，进入弹性伸缩管理控制台。 4. 在带宽伸缩策略列表中，单击待操作的策略所在行的“删除”按钮，可对不再需要的伸缩策略进行删除操作。

本节包含磁盘增强型弹性云主机D6的概述、使用须知、使用场景等内容。 概述 D6搭载第二代英特尔® 至强® 可扩展处理器，计算性能强劲稳定，提供1:4的vCPU和内存比实例。配套自研25GE智能高速网卡，提供超高网络带宽和PPS收发包能力；配套有本地SATA盘，单盘提升到3600GiB，最大支持36 × 3600GiB本地盘容量。 使用须知 1.当前支持如下版本的操作系统（最终以控制台展示的信息为准）： CentOS 6.3/6.4/6.5/6.6/6.7/6.8/6.9/6.10/7.0/7.1/7.2/7.3/7.4/7.5/7.6/8.0 64bit SUSE Enterprise Linux Server 11 SP3/SP4 64bit SUSE Enterprise Linux Server 12 SP1/SP2/SP3/SP4 64bit Red Hat Enterprise Linux 6.4/6.5/6.6/6.7/6.8/6.9/6.10/7.0/7.1/7.2/7.3/7.4/7.5/7.6/8.0 64bit Windows Server 2008 R2 Enterprise 64bit Windows Server 2012 R2 Standard 64bit Windows Server 2016 Standard 64bit Debian 8.1.0/8.2.0/8.4.0/8.5.0/8.6.0/8.7.0/8.8.0/9.0.0 64bit EulerOS 2.2/2.3/2.5/2.9 64bit Fedora 22/23/24/25/26/27/28 64bit OpenSUSE 13.2/15.0/15.1/42.2/42.3 64bit 2.D6型弹性云主机所在的物理机发生故障时，不支持弹性云主机的迁移。部分宿主机硬件故障或亚健康场景，需要用户配合关闭ECS完成宿主机硬件维修动作。 因系统维护或硬件故障等，HA重新部署ECS实例后，实例会冷迁移到其他宿主机，本地盘数据不保留。 3.不支持规格变更。 4.不支持本地盘的快照和备份。 5.可使用本地盘和云硬盘两类磁盘存储数据，通过挂载云硬盘，可以提供更大的存储空间。关于本地盘和云硬盘的使用，有如下约束与限制： 系统盘只能部署在云硬盘上，不可以部署在本地盘上。 数据盘可以部署在云硬盘和本地盘上。 最多可以挂载60块盘（包括VBD盘+SCSI盘+本地盘），其中，SCSI盘最多只能挂载30块，VBD盘最多只能挂载24块（含系统盘），详情请参见一台弹性云主机可以挂载多块磁盘吗。 说明 对于已创建的D6型云主机，最多可以挂载的磁盘数保持原配额。 6.您可以通过配置fstab文件，设置云主机系统启动时自动挂载磁盘分区。具体操作请参见设置开机自动挂载磁盘分区。 7.D6型弹性云主机的本地磁盘数据有丢失的风险（比如宿主机宕机或本地磁盘损坏时），如果您的应用不能做到数据可靠性的架构，我们强烈建议您使用云盘搭建您的弹性云主机。 8.删除D6型弹性云主机时，本地盘中的数据会被自动清除，请提前做好数据备份。删除本地盘数据的时间较长，因此，资源释放的时间较之常规云主机略长。 9.请勿在本地磁盘上存储需要长期保存的业务数据，并及时做好数据备份和采用高可用架构。如需长期保存，建议将数据存储在云硬盘上。 10.您不能单独购买本地盘，本地盘的数量和容量由您选择的弹性云主机规格决定，只能在创建D6型弹性云主机的同时购买本地盘。

本文为您介绍如何通过虚拟节点使用L20 GPU。 主流的AI训练、推理等应用普遍采用容器化方式运行，这类任务对GPU算力需求大，且通常需要短时间内快速申请大量计算资源，并在任务完成后及时释放，以提升资源利用效率、控制成本。在已经创建云容器引擎集群的基础上，您可以通过部署虚拟节点（基于VK）来调用弹性容器实例，实现按需、弹性地调度GPU算力资源。 推荐您使用云容器引擎集群对接ECI GPU实例进行弹性扩容，从而高效、灵活地满足算力扩展需求。以下以扩容L20机型为例，指导您如何通过虚拟节点使用L20 GPU 弹性容器实例。 操作步骤 1. 在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2. 点击“创建弹性容器组”，进入弹性容器实例订购页，确认 L20 资源可售卖的可用区以及规格名称。 3. 进入云容器引擎产品控制台，选择想要扩容L20 GPU弹性容器实例的集群。 4. 在左侧导航栏中选择“节点”，进入节点列表页，点击“创建虚拟节点”。 5. 在创建虚拟节点页面，选择第二步中仍未售罄的可用区。 6. 等待虚拟节点状态正常。 7. 进入工作负载页面，选择“新增YAML”，最后点击“确定”。 通过 annotations 指定 ECI 规格。例如下面的 k8s.ctyun.cn/eciusespecs: pn8i.4x.large.8 通过 nodeName 指定工作负载调度到虚拟节点。例如下面 nodeName: vnd4klpjmam8j8hf57mcnhuadong1jsnj2apublicctcloud 通过 resources 指定工作负载的资源需求。其中，GPU指定为 ctyun.cn/gpu: 1 plaintext apiVersion: apps/v1 kind: Deployment metadata: name: cudal20 namespace: default labels: app: cuda spec: replicas: 1 selector: matchLabels: app: cuda template: metadata: annotations: k8s.ctyun.cn/eciusespecs: pn8i.4xlarge.8 labels: app: cuda spec: containers: name: cuda image: docker.io/library/cuda:11.4.3baseubuntu20.04 imagePullPolicy: IfNotPresent command: /bin/bash 'c' args: nvidiasmi L; sleep infinity resources: requests: memory: "128Gi" cpu: "16" ctyun.cn/gpu: 1 limits: memory: "128Gi" cpu: "16" ctyun.cn/gpu: 1 nodeName: vnd4klpjmam8j8hf57mcnhuadong1jsnj2apublicctcloud 8. 等待工作负载 Running。

限速配置 基于IP的限速配置 当WAF与客户端之间并无代理设备时，通过源IP来检测攻击行为较为精确，建议直接使用IP限速的方式进行访问频率限制。 基于session的频率限制 当黑客控制多台肉鸡，模仿普通访问者，共用同一IP，或通过代理频繁更换源IP持续向站点发起请求，通过IP进行频率限制无法准确识别恶意访问源。因此建议通过配置session，通过会话区分单个访问者，实现更细粒度的限速。 SESSION配置项： SESSION位置：可选则GET、POST、COOKIE、HEADER。 SEESION标识：取值标识，通过配置唯一可识别Web访问者的某属性变量名（Key），系统将根据此标识匹配到的内容识别访问者。

天翼云为您提供弹性负载服务协议。 弹性负载均衡服务协议生效，详情请参见这里。

什么情况下，可以选择紧急模式的CC防护？ CC攻击防护可以通过对Web业务请求的安全验证防护网络攻击者对业务服务器发起的CC攻击。 默认情况下，CC攻击的防护模式是正常模式，帮助您拦截常规的CC攻击。 当您发现在使用正常CC攻击防护模式状态下，依然出现源站CPU利用率飙升、数据库或者应用丢包时，说明常规的CC防护模式由于阈值设定的原因，已无法防护该CC攻击，为了缓解服务器的紧急状态，您可以选用攻击紧急模式。攻击紧急模式会降低判定CC攻击频率和周期的阈值，此时CC攻击的防护策略会非常敏感，对于所有超过阈值的访问请求都会拦截，从而保证在极端情况下依然能够对用户的Web业务进行防护。 注意 由于紧急模式下，防护策略阈值较低，敏感度较高，可能导致对正常请求的误拦截。所以建议您在服务器紧急情况缓解后，排查清楚出具体出现紧急情况的原因并解决后，在正常状态下依然启用正常模式的CC防护。配置方式请参见CC防护。 IP黑名单支持批量添加IP地址吗？ 不可以，当前WAF暂不支持批量添加IP地址，您可以通过创建IP黑名单规则，添加单个IP地址或IP地址段。 IP黑白名单支持配置的策略如下： 支持基于域名创建IP黑白名单规则。 支持添加IPv4、IPv6地址，支持添加IP地址段。 IP黑白名单模块的防护检测逻辑优先级高于其他防护模块；IP黑白名单内部检测逻辑，白名单高于黑名单。 注意 不同实例版本支持添加的IP黑白名单规则数量不同，有关个版本规格的详细介绍，请参见产品规格。 若当前版本的IP黑白名单防护规则条数无法满足业务需求时，您可以通过购买规则扩展包或升级版本，以实现规则条数的扩容。一个规则扩展包包含50条IP黑白名单防护规则，详情请参见升级扩容。

配置项 说明 处理动作 支持拦截、告警、加白、丢弃。 告警：对命中该规则的请求仅告警不阻断，记录攻击日志。 加白：对命中该规则的请求放行，不记录攻击日志。 拦截：对命中该规则的请求进行拦截，并返回响应页面。 丢弃：对命中该规则的请求拦截但不会响应页面，减少带宽。 规则名称 自定义规则名称。 匹配条件 支持配置多条，同一规则下多条匹配条件同时满足进行处理。 匹配字段： IPPORT：客户端IP端口 PATH：目录路径，比如：/qr/;/app/verifyCode/ IP：客户端IP，比如：192.168.1.1;192.168.1.2 IPS：客户端ip段,比如：192.168.1.0/24;192.168.2.0/24 IPR：客户端ip范围，比如：192.168.1.1192.168.1.10;192.168.1.12192.168.1.20 URI：URI不包括问号后参数，比如：/login.php REQUESTURI：URI包括问号后参数，比如：login.php?id1 METHOD：请求方式，比如：GET;POST ARGS：问号后参数名 GEO：地理位置 HEADER：请求头部 PROTOCOL：请求协议，比如：HTTP/1.0;HTTP/2.0

参数名称 告警事件状态说明 时间范围 支持选择固定周期，支持自定义查询告警的时间范围，自定义只能选择30天范围内的查询。 固定周期可选择如下： 最近24小时 最近3天 最近7天 最近30天 主机安全告警 存在告警的服务器 待处理告警事件 展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。 已处理告警事件 展示您资产中所有已处理的告警事件数量。 已拦截IP 展示已拦截的IP。单击“已拦截IP”，可查看已拦截的IP地址列表。 已拦截IP列表展示“服务器名称”、“攻击源IP”、“登录类型”、“拦截状态”、“拦截次数”、“开始拦截时间”、“最近拦截时间”。 如果您发现有合法IP被误封禁（比如运维人员因为记错密码，多次输错密码导致被封禁），可以手工解除拦截。如果发现某个主机被频繁攻击，需要引起重视，建议及时修补漏洞，处理风险项。 说明 解除被拦截的IP后，主机将不会再拦截该IP地址对主机执行的操作。 每种软件最多拦截10000个ip。 如果您的linux主机不支持ipset，mysql和vsftp最多拦截50个ip。 如果您的linux主机既不支持ipset不支持hosts.deny，ssh最多拦截50个ip 已隔离文件 主机安全可对检测到的威胁文件进行隔离处理，被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中。 被成功隔离的文件一直保留在文件隔离箱中，您可以根据自己的需要进行一键恢复处理，关于文件隔离箱的详细信息，请参见管理文件隔离箱。 容器安全告警 存在告警的服务器 待处理告警事件 展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。 已处理告警事件 展示您资产中所有已处理的告警事件数量。 威胁等级 将被告警按照不同等级进行统计：致命 、 高危 、 中危、 低危。 TOP5事件类型 展示数量最多的前五种告警类型及数量。

Ubuntu操作系统进入单用户模式 本示例将会对一台操作系统为Ubuntu18.04 64位镜像的弹性云主机实例进行单用户模式进入操作。 1. 登录控制中心。 2. 选择区域华东华东1。 3. 单击“计算>弹性云主机”，进入弹性云主机页面。 4. 单击待操作的弹性云主机行的“操作>远程登录”按钮，远程连接弹性云主机实例。 5. 输入用户名root，密码为购买弹性云主机时用户自定义的密码，登录成功之后如图： 6. 输入重启命令reboot，并在重启过程中按shift键，进入GRUB界面，GRUB界面示例如下。 7. 使用键盘方向键，向下移动选择GRUB页面第二行的高级选项，并按下键盘的enter键。 8. 接下来选择新页面中第二行的恢复模式（recovery mode），并按e键编辑启动项。 9. 进入编辑页面，使用键盘的方向键，移动光标向下至linux命令开头的一行，并在本行中将ro至末尾的内容删除并替换为rw single init/bin/bash。具体的修改信息如下图： 10. 截至目前，进入单用户模式的配置已经基本完成，现在需要用户按下键盘的ctrl+x组合键或按F10键，系统会直接进入单用户模式。输入passwd命令重置系统密码，密码输入完成还需要进行密码的二次输入进行确认。示例如图所示。 至此，一台操作系统为Ubuntu18.04 64位的弹性云主机实例就进入到了单用户模式。

名称 类型 描述 iqn String iSCSI target IQN。 status String 卷对应的target的状态： Active：主target。 Standby：热备target。 Offline：离线target。 Unavailable：冷备target。 ips Array of ip iSCSI target的IP属性集合，详见“ 表3 响应参数ip说明 ”。 serverId String IQN所在的服务器ID。

本文主要介绍实例问题。 为什么可用区不能选择2个？ 如果您需要提高Kafka实例的可靠性，在创建实例时，建议选择3个或以上的可用区，不支持选择2个可用区。原因如下： 每个Kafka实例包含3个Zookeeper节点，Zookeeper集群用来管理Kafka实例的配置，如果Zookeeper集群出现问题，Kafka实例将无法正常运行。至少2个Zookeeper节点正常运行，才能保证Zookeeper集群正常运行。 假设选择2个可用区，可用区1有1个Zookeeper节点，可用区2有2个Zookeeper节点。如果可用区1故障，则Kafka实例能正常使用；如果可用区2故障，则不能正常使用。Kafka实例可用的场景只有50%，所以不支持选择2个可用区。 创建实例时为什么无法查看子网和安全组等信息？ 创建实例时，如果无法查看虚拟私有云、子网、安全组、弹性IP，可能原因是该用户的用户组无Server Administrator和VPC Administrator权限。增加用户组权限的详细步骤，请参考《统一身份认证服务 用户指南》的“用户指南 > 用户组及授权 > 查看或修改用户组”章节。 如何选择Kafka实例的存储空间？ 存储空间主要是指用于存储消息（包括副本中的消息）、日志和元数据所需要的空间。选择存储空间时，需要选择磁盘类型和磁盘大小。更多磁盘信息，请参考《云硬盘用户指南》的“简介 > 磁盘类型及性能介绍”章节 假设业务存储数据保留天数内磁盘大小为100GB，则磁盘容量最少为 100GB副本数 + 预留磁盘大小100GB 。Kafka集群中，每个Kafka节点会使用33GB的磁盘作为日志和Zookeeper数据的存储，因而实际可用存储会小于购买存储。 其中，副本数在创建Topic时可以选择，默认为3副本存储。如果开启了Kafka自动创建Topic功能，自动创建的Topic默认为3副本，副本数可以通过“配置参数”页签中的“default.replication.factor”修改。

本章节主要介绍 初始化系统用户密码 。 操作场景 该任务指导管理员在用户遗忘密码或公共帐号密码需要定期修改时，通过Manager初始化密码。初始化密码后用户首次使用需要修改密码。开启Kerberos认证的集群或开启弹性公网IP功能的普通集群支持该操作。 说明 该章节操作仅适用于MRS 3.x之前版本集群。MRS3.x及之后版本集群请参考 对系统的影响 初始化MRS集群用户密码后，如果以前下载过用户认证文件，则需要重新下载并获取keytab文件。 初始化“人机”用户密码 访问MRS Manager，详细操作请参见访问MRSManager（MRS2.x及之前版本）。 1. 在MRS Manager，单击“系统设置”。 2. 在“权限配置”区域，单击“用户管理”。 3. 在要初始化密码用户所在行，单击“更多 > 初始化密码”，按界面提示信息修改用户密码。 在弹出窗口中输入当前登录的管理员密码确认管理员身份，单击“确定”，然后在“初始化密码”单击“确定”。 集群中，默认的密码复杂度要求： 密码字符长度为8～32位。 至少需要包含大写字母、小写字母、数字、空格、特殊字符'~!@ $%^&()+[{}];:'", /?中的3种类型字符。 不能与用户名或倒序的用户名相同。 初始化“机机”用户密码 根据业务情况，准备好客户端，并登录安装客户端的节点。 1. 执行以下命令切换用户。 sudo su omm 2. 执行以下命令，切换到客户端目录，例如“/opt/Bigdata/client”。 cd /opt/Bigdata/client 3. 执行以下命令，配置环境变量。 source bigdataenv 4. 执行以下命令，使用kadmin/admin登录控制台。 说明 kadmin/admin的默认密码为“KAdmin@123”，首次登录后会提示该密码过期，请按照提示修改密码并妥善保存。 kadmin p kadmin/admin 5. 执行以下命令，重置组件运行用户密码。此操作对所有服务器生效。 cpw 组件运行用户名 例如：cpw oms/manager 集群中，默认的密码复杂度要求： 密码字符长度为8～32位。 至少需要包含大写字母、小写字母、数字、空格、特殊字符'~!@

2.创建存算分离集群 配置存算分离支持在新建集群中配置委托实现，也可以通过为已有集群绑定委托实现。本示例以开启Kerberos认证的集群为例介绍。 新创建存算分离集群 ： 1. 登录MRS服务控制台。 2. 单击“创建集群”，进入“创建集群”页面。 3. 在创建集群页面，选择“自定义创建”页签。 4. 在“自定义创建”页签，填写“软件配置”参数。 区域：请根据需要选择。 集群名称：可以设置为系统默认名称，但为了区分和记忆，建议带上项目拼音缩写或者日期等。 集群版本：请选择集群版本。 集群类型：选择“分析集群”或“混合集群”并勾选所有组件。 元数据：选择“本地元数据”。 5. 单击“下一步”，并配置硬件相关参数。 可用区：默认即可。 虚拟私有云：默认即可。 子网：默认即可。 安全组：默认即可。 弹性公网IP：默认即可。 集群节点：请根据自身需求选择节点规格和数量。 6. 单击“下一步”，并配置相关参数。 Kerberos认证：默认开启，请根据自身需要选择。 用户名：默认为“admin”，用于登录集群管理页面。 密码：设置admin用户密码。 确认密码：再次输入设置的admin用户密码。 登录方式：选择登录ECS节点的登录方式，本例选择密码方式。 用户名：默认为“root”，用于远程登录ECS机器。 密码：设置root用户密码。 确认密码：再次输入设置的root用户密码。 7. 本例以配置委托为例介绍，其他参数暂不配置，如需配置请参考创建自定义集群中的高级配置（可选）。 委托：选择1：创建具有访问OBS权限的ECS委托所创建的委托或MRS在IAM服务中预置的委托MRSECSDEFAULTAGENCY。 8. 通信安全授权请勾选“确认授权”，详细信息请参见授权安全通信。 9. 单击“立即申请”。等待集群创建成功。 当集群开启Kerberos认证时，需要确认是否需要开启Kerberos认证，若确认开启请单击“继续”，若无需开启Kerberos认证请单击“返回”关闭Kerberos认证后再创建集群。

本文介绍弹性文件服务的监控概述。 云监控概述 云监控服务是天翼云针对云网资源的一项监控服务，弹性文件服务通过云监控服务提供监控和告警能力。通过查看文件系统的监控数据，您可以了解到文件系统的使用情况。通过设置告警规则可以监控文件系统实例异常情况，保障业务正常进行。 弹性文件服务自动接入云监控内，无需开通。通过云监控查看文件系统的监控数据，您可以了解到文件系统的使用情况。

本章节介绍如何使用云服务备份完成整机镜像的跨可用区迁移。 场景描述 云服务备份支持将弹性云主机的备份创建为镜像，可利用镜像发放弹性云主机，达到快速恢复业务运行环境的目的。在本region的其他区域使用整机镜像创建弹性云主机，以实现跨区域使用镜像快速创建相同配置的弹性云主机。 方案优势 Region内跨AZ备份恢复，快速实现云主机迁移。 通过云服务备份创建的整机镜像包含操作系统、应用软件，以及用户的业务数据，可快速数据搬迁创建相同配置的弹性云主机。 前提条件 在进行本文操作之前，您需要完成以下准备工作： 请确保弹性云主机在备份前已完成如下操作： Linux弹性云主机优化并安装Cloudinit工具 Windows弹性云主机优化并安装Cloudbaseinit工具 创建镜像前备份的状态必须为“可用”，或者状态为“创建中”并在备份状态列显示“可用于创建镜像”时，才允许执行创建镜像操作。 用于创建镜像的备份必须包含系统盘的备份。 解决方案 步骤1：创建云主机备份 1、参照云服务备份操作指导章节，完成存储库的创建，用于存储整机镜像。 2、将需要迁移的云主机绑定至存储库，参照云主机备份创建指导完成该云主机的全量备份。 3、执行备份成功后，在“备份副本”页签，查看产生的备份状态为“可用”，表示当前备份任务执行成功。 步骤2：通过云备份创建整机镜像 1、登录天翼云管理控制台。选择“计算 > 镜像服务”。进入镜像服务页面。 2、单击右上角的“创建私有镜像”，进入创建私有镜像页面。在“镜像类型和来源”区域，选择镜像的创建方式为“整机镜像”。镜像源选择“云备份”，从列表中选择相应的云备份。 3、在“配置信息”区域，填写镜像的基本信息。例如，镜像的名称和镜像描述。单击“立即创建”。 4、根据界面提示，确认镜像参数。阅读并勾选协议，单击“提交申请”。返回私有镜像界面查询创建的整机镜像的状态。 5、当镜像的状态为“正常”时，表示创建完成。 步骤3：使用整机镜像创建云主机 1、登录天翼云管理控制台。选择“计算 > 镜像服务”。进入镜像服务页面。 2、在“私有镜像”页签下，选中创建成功的整机镜像，单击操作列“申请主机”，进入创建云主机的向导页面。 3、参考《弹性云主机用户指南》，在目的可用区完成弹性云主机的创建。使用整机镜像创建弹性云主机，如果整机镜像中包含了一块或多块数据盘，系统会自动设置好数据盘参数。

参数 迁移后的云主机 备注 OS类型 和迁移源端云主机的OS一致 目标端云主机OS被迁移源端云主机OS覆盖。 IP 目标端云主机的IP 迁移后公网IP会变。如果目标端云主机所在VPC下的网段包含源端内网IP时，内网IP可以设置为不变。 用户名 和迁移源端云主机的用户名一致 密码（证书） 用户名、证书、密码都与迁移源端云主机保持一致 数据 数据与迁移源端保持一致，包括文件、应用、配置

本章节主要介绍修改FusionInsight Manager添加的路由表。 操作场景 安装FusionInsight Manager时系统会自动在主管理节点上创建2条路由信息，执行ip rule list可以查看，如下示例： 0:from all lookup local 32764:from all to 10.10.100.100 lookup ntprt FusionInsight Manager创建的ntp路由信息（未配置外部NTP时钟源时无此信息） 32765:from 192.168.0.117 lookup omrt FusionInsight Manager创建的om路由信息 32766:from all lookup main32767:from all lookup default 说明 没有配置ntp外部服务器时只会有一条om路由信息“omrt”。 如果FusionInsight Manager创建的路由信息与企业网络规划配置的路由信息发生冲突时，管理员可以使用“autoroute.sh”工具禁用或启用Manager创建的路由信息。 对系统的影响 禁用Manager创建的路由信息后，在设置新的路由信息之前，FusionInsight Manager页面无法登录，集群运行不受影响。 前提条件 已经成功安装Manager。 已获取待创建的WS浮动IP路由的相关信息。 禁用系统创建的路由信息 1.以omm用户登录到主管理节点。执行以下命令，禁用系统创建的路由信息。 cd ${BIGDATAHOME}/omserver/om/sbin ./autoroute.sh disable Deactivating Route. Route operation (disable) successful. 2.执行以下命令，查看运行结果。如下例 ip rule list 0:from all lookup local 32766:from all lookup main 32767:from all lookup default 3.执行以下命令，输入root用户密码，切换到root用户下。 su root 4.分别执行以下命令，手动创建新的WS浮动IP路由信息。 ip route add WS浮动IP网段号/WS浮动IP子网掩码 scope link src WS浮动IP dev WS浮动IP对应网卡 table omrt ip route add default via WS浮动IP网关 dev WS浮动IP对应网卡 table omrt ip rule add from WS浮动IP table omrt 例如： ip route add 192.168.0.0/255.255.255.0 scope link src 192.168.0.117 dev eth0:ws table omrt ip route add default via 192.168.0.254 dev eth0:ws table omrt ip rule add from 192.168.0.117 table omrt 说明 当前网络的IP地址模式为IPv6时，应执行ip 6 route add命令。 5.分别执行以下命令，手动创建新的ntp服务路由信息。未配置外部NTP时钟源时，跳过此步骤。 ip route add default via NtpIP网关 dev 本机IP对应网卡 table ntprt ip rule add to ntpIP table ntprt 本机IP对应网卡是指可与NTP服务器所在网段互通的网卡。 例如： ip route add default via 10.10.100.254 dev eth0 table ntprt ip rule add to 10.10.100.100 table ntprt 6.执行以下命令，查看运行结果。 如下例，如产生路由表名为“omrt”和“ntprt”的路由信息，则操作成功。 ip rule list 0:from all lookup local 32764:from all to 10.10.100.100 lookup ntprt

此章节为您介绍如何更改云堡垒机的安全组。 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求并相互信任的弹性云服务器、云堡垒机等提供访问策略。 为了保障云堡垒机的安全性和稳定性，在使用云堡垒机之前，您需要设置安全组，开通需访问资源的IP地址和端口。但是若您在购买堡垒机的时候选择了不适用的安全组，也无法通过修改相应的安全组规则来放通这些IP地址和端口，这时候您可以通过更改堡垒机绑定的安全组来满足您的运维需求。 操作步骤 1.登录管理控制台。 2.选择“安全 > 云堡垒机（原生版）”，进入云堡垒机实例管理页面。 3.选择需要更改安全组的堡垒机实例，在实例详情页单击按钮。 4.在弹出的对话框中选择需要更改的安全组，选择完成后单击保存即可完成安全组的修改。

本文介绍用户分析可支持的维度和查询方法。 分析维度说明 用户分析模块，支持客户对访问用户区域分布、访问运营商分布、独立IP访问数等维度，按域名、时间条件进行查询，并基于带宽、流量、访问次数、独立IP访问峰值(1小时统计)、日活跃IP总量进行分析。同时支持数据的下载。 访问用户区域分布 访问用户区域分布支持客户按域名、时间等搜索条件，对用户所在区域基于带宽、流量、访问次数进行分析。 访问运营商分布 访问运营商分布支持客户按域名、时间等搜索条件，对用户所属运营商基于带宽、流量、访问次数进行分析。 独立IP访问数 独立IP访问数支持客户按域名、时间等搜索条件，对独立IP访问峰值(1小时统计)、日活跃IP总量进行分析。

本文介绍如何挂载NFS文件系统到Linux云主机。 操作场景 当创建文件系统后，您需要使用云主机来挂载该文件系统，以实现多个云主机共享使用文件系统的目的。 注意事项 注意 不推荐NFS协议的文件系统挂载至Windows，Windows系统对NFS协议文件系统兼容性较差，会出现中文乱码和无法进行重命名等问题，影响正常使用。因此推荐使用NFS文件系统挂载至Linux操作系统的计算服务上，以避免不兼容的问题。 如果仍然期望采用NFS协议的文件系统挂载至Windows的方式，请务必知晓上述风险，若采用此种挂载方式，本服务不承诺SLA。 前提条件 在需要操作的地域已创建虚拟私有云VPC，具体操作步骤参见创建虚拟私有云VPC。 已创建该VPC下的弹性云主机，操作系统为Linux，具体操作步骤参见创建弹性云主机。 已创建该VPC下的文件系统，文件系统的协议类型为NFS，具体操作步骤参见创建文件系统。 操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“计算>弹性云主机”，进入弹性云主机控制台页面，找到即将执行挂载操作的云主机。 3. 以root用户登录该弹性云主机，登录方法参考登录Linux弹性云主机弹性云主机快速入门。 4. 执行以下命令查询该云主机是否安装NFS客户端，若没有返回安装结果，执行第5步进行安装。 plaintext rpm qa grep nfsutils 5. 安装NFS客户端。安装时注意不同操作系统执行命令不同。 CentOS系统，执行以下命令： plaintext yum y install nfsutils Ubuntu系统，执行以下命令： plaintext sudo aptget install nfscommon 6. 执行如下命令创建本地挂载路径，例如“/mnt/sfs”。 plaintext mkdir /mnt/sfs 7. 执行如下命令挂载文件系统。 IPv4地址挂载命令： plaintext mount t nfs o vers3,prototcp,async,nolock,noatime,nodiratime,noresvport,wsize1048576,rsize1048576,timeo600 挂载地址 本地挂载路径 IPv6地址挂载命令： plaintext mount t nfs o vers3,prototcp6,async,nolock,noatime,nodiratime,noresvport,wsize1048576,rsize1048576,timeo600 挂载地址 本地挂载路径 8. 挂载完成后使用 df h命令查看文件系统挂载情况。

本文向您介绍修改Windows弹性云主机的分辨率。 不同版本的Windows系统方法有所不同，这里以Windows Server 2012数据中心版为例。 VNC登录方式 VNC登录弹性云主机，右键单击桌面，选择屏幕分辨率，在弹出页面，选择合适的分辨率，点击确定、应用即可。 MSTSC方式 1. 本地端输入“mstsc”，并单击“确定”。系统打开“远程桌面连接”窗口。 2. 选择“显示”页签，在“显示配置”中设置分辨率大小。 3. 分辨率设置完成后，使用MSTSC方式连接弹性云主机。

弹性负载均衡产品广泛应用于多种场景,本文带您更快了解弹性负载均衡的经典应用场景。 分发流量应对高访问量业务 场景说明 针对高访问量的业务，可以使用负载均衡来实现流量分发，通过设置适当的转发策略，将访问量均衡地分配到多个后端云主机，从而有效提高业务处理的效率和性能。同时，负载均衡还可以实现会话保持、健康检查等功能，保证业务的可用性和稳定性。后端的云主机还可以部署在不同的可用区中，实现后端主机的高可用。 场景特点 业务访问量大，高并发，单机难以支撑，负载均衡通过流量负载分担到多台后端主机承载，提升业务可靠性，有效支撑大流量、大并发业务。 典型应用对象 应用于各种高访问量的业务场景，如大型门户网站、移动应用市场、电商平台等，从而帮助企业应对高访问量的业务挑战，提高业务的可用性和性能，降低运维成本和风险。 集成弹性伸缩自动调整资源 场景说明 针对在某些特定时间段内，业务流量出现大幅度波动，可以使用负载均衡集成弹性伸缩服务来实现自动化的资源调整。弹性伸缩服务可以根据业务流量的变化自动调整云主机数量，从而保证业务处理能力的充足和稳定，提高业务的可用性和性能。同时，结合负载均衡技术，可以将流量合理地分配到多个云主机上进行处理，进一步提高业务的处理效率和吞吐量。

什么是UDP攻击和TCP攻击？ UDP攻击和TCP攻击的基本原理说明如下： 攻击者利用UDP和TCP协议的交互过程特点，通过僵尸网络，向服务器发送大量各种类型的TCP连接报文或UDP异常报文，造成服务器的网络带宽资源被耗尽，从而导致服务器处理能力降低、运行异常。 如何理解“百万级的IP黑名单库”？ 百万级的IP黑名单库是指AntiDDoS基于多年积累的DDoS防护经验，搜集的恶意IP数量已达到百万级别。当用户的业务受到这些恶意IP攻击时，AntiDDoS可以快速响应，及时为用户提供DDoS攻击防护服务。 AntiDDoS的触发条件是什么？ AntiDDoS检测到IP的入流量超过“防护设置”页面配置的“流量清洗阈值”时，触发流量清洗。 当实际业务流量触发该阈值时，AntiDDoS仅拦截攻击流量。 当实际业务流量未触发该阈值时，无论是否为攻击流量，都不会进行拦截。 AntiDDoS流量清洗进行防御时对正常业务有影响吗？ AntiDDoS流量清洗不影响正常流量。 AntiDDoS清洗机制是怎样的？ AntiDDoS检测到IP的入流量超过“防护设置”页面配置的“流量清洗阈值”时，触发流量清洗。 您可以通过拦截报告页面，查看所有公网IP的防护统计信息，包括清洗次数、清洗流量以及TOP10被攻击公网IP。

操作场景 HPA或CustomedHPA策略创建完成后，可对创建的策略进行更新、克隆、编辑YAML以及删除等操作。 操作场景 您可以查看HPA策略的规则、状态和事件，参照界面中的报错提示有针对性的解决异常事件。 步骤 1 登录CCE控制台，在左侧导航栏中单击“弹性伸缩”，在“工作负载伸缩”页签下，单击要查看的HPA策略前方的。 步骤 2 在展开的区域中，可以看到规则、状态和事件页签，若策略异常，请参照界面中的报错提示进行定位处理。 说明：您还可以在工作负载详情页中查看已创建的HPA策略，登录CCE控制台，在左侧导航栏中单击“工作负载 > 无状态负载 Deployment”，单击工作负载后方“操作”中的“更多 > 伸缩”，在该工作负载详情页的“伸缩”页签下可以看到“弹性伸缩 HPA / CustomedHPA”，您在“弹性伸缩”页面配置的HPA策略也会在这里显示。 表事件类型及名称 事件类型 事件名称 描述 正常 SuccessfulRescale 扩缩容成功 异常 InvalidTargetRange 无效的TargetRange 异常 InvalidSelector 无效选择器 异常 FailedGetObjectMetric 获取对象失败数 异常 FailedGetPodsMetric 获取Pod列表失败指标 异常 FailedGetResourceMetric 获取资源失败数 异常 FailedGetExternalMetric 获取外部指标失败 异常 InvalidMetricSourceType 无效的指标来源类型 异常 FailedConvertHPA 转换HPA失败 异常 FailedGetScale 获取比例尺失败 异常 FailedComputeMetricsReplicas 计算指标副本数失败 异常 FailedGetScaleWindow 获取ScaleWindow失败 异常 FailedRescale 扩缩容失败 查看CustomedHPA策略 您可以查看CustomedHPA策略的规则和最新状态，参照界面中的报错提示有针对性的解决异常事件。 步骤 1 登录CCE控制台，在左侧导航栏中单击“弹性伸缩”，在“工作负载伸缩”页签下，单击要查看的CustomedHPA策略前方的。 步骤 2 在展开的区域中，可以看到规则页签，若策略异常，请单击“最新状态”栏中的“详情”，参照展开的详细信息进行定位处理。 说明：您还可以在工作负载详情页中查看已创建的CustomedHPA策略，登录CCE控制台，在左侧导航栏中单击“工作负载 > 无状态负载 Deployment”，单击工作负载后方“操作”中的“更多 > 伸缩”，在该工作负载详情页的“伸缩”页签下可以看到“弹性伸缩 HPA / CustomedHPA”，您在“弹性伸缩”页面配置的CustomedHPA策略也会在这里显示。 更新HPA或CustomedHPA策略 以HPA策略为例。 步骤 1 登录CCE控制台，在左侧导航栏中单击“弹性伸缩”，在“工作负载伸缩”页签下，单击策略后方“操作”栏中的“更新”。 步骤 2 在打开的“更新工作负载HPA策略”页面中，更新策略参数。 步骤 3 单击“更新”完成策略更新。 克隆HPA或CustomedHPA策略 步骤 1 登录CCE控制台，在左侧导航栏中单击“弹性伸缩”，在“工作负载伸缩”页签下，单击策略后方“操作”栏中的“克隆”。 步骤 2 在打开的“创建工作负载HPA策略”页面中，可以看到部分参数（如实例范围、冷却时间和策略规则）已经克隆过来，请按照业务需求补充或修改其他策略参数。 步骤 3 单击“创建”完成策略克隆，在“工作负载伸缩”页签下的策略列表中可以看到新克隆的策略。 编辑YAML（HPA策略） 步骤 1 登录CCE控制台，在左侧导航栏中单击“弹性伸缩”，在“工作负载伸缩”页签下，单击HPA策略后方“操作”栏中的“更多 > 编辑YAML”。 步骤 2 在弹出的“编辑YAML”窗口中，可以对YAML进行修改和下载。 步骤 3 在右上角关闭窗口完成操作。 查看YAML（CustomedHPA策略） 步骤 1 登录CCE控制台，在左侧导航栏中单击“弹性伸缩”，在“工作负载伸缩”页签下，单击CustomedHPA策略后方“操作”栏中的“更多 > 查看YAML”。 步骤 2 在弹出的“查看YAML”窗口中，可以对YAML进行复制和下载，不能对其修改。 步骤 3 在右上角关闭窗口完成操作。 删除HPA或CustomedHPA策略 步骤 1 登录CCE控制台，在左侧导航栏中单击“弹性伸缩”，在“工作负载伸缩”页签下，单击策略后方“操作”栏中的“更多 > 删除”。 步骤 2 在弹出的“删除HPA策略”窗口中，确认是否删除。 步骤 3 单击“是”完成删除操作。